StyleServ

StyleServ è classificato come un tipo di malware noto come backdoor, che svolge un ruolo specifico nel regno delle minacce informatiche. Il malware di tipo backdoor è creato appositamente per svolgere una duplice funzione: in primo luogo, prepara un sistema compromesso per un'infiltrazione più estesa e, in secondo luogo, facilita l'esecuzione delle fasi successive dell'infezione. Queste fasi successive spesso comportano il download e l'installazione di programmi o componenti aggiuntivi non sicuri sul sistema infetto.

Nel caso di StyleServ, gli obiettivi precisi che persegue sono attualmente avvolti nell’incertezza. Tuttavia, è altamente probabile che la sua funzione primaria sia quella di fungere da strumento preparatorio nel contesto di una più ampia strategia di attacco informatico. Ciò suggerisce che il ruolo principale di StyleServ sia quello di creare le condizioni necessarie affinché forme più avanzate di malware possano infiltrarsi e compromettere ulteriormente il sistema di destinazione.

Le infezioni di StyleServ potrebbero avere conseguenze disastrose

È molto probabile che StyleServ svolga un ruolo critico nel contesto delle reti infiltrate, principalmente conducendo scansioni per identificare informazioni che possono essere sfruttate per favorire l’attacco. Ciò include l’individuazione delle vulnerabilità esistenti e altri dati rilevanti. Tali strumenti sono fondamentali negli attacchi mirati, in particolare quelli caratterizzati dalla loro adattabilità, poiché fanno molto affidamento sulle caratteristiche uniche del bersaglio e sul suo livello di sicurezza.

È noto che le infezioni StyleServ utilizzano una tecnica chiamata sideloading DLL. Questo metodo sfrutta il meccanismo dell'ordine di ricerca delle DLL di Windows, consentendo al malware di utilizzare un programma legittimo come veicolo per eseguire il proprio payload dannoso, come StyleServ. Questa backdoor viene solitamente utilizzata negli attacchi passivi, che si distinguono per l'attenzione al monitoraggio del sistema. Questa attività di monitoraggio può comprendere attività come la scansione delle vulnerabilità e il sondaggio delle porte.

Negli attacchi passivi il livello di interazione con il sistema compromesso varia. Alcuni richiedono un’interazione minima, mentre altri si impegnano in una ricognizione attiva. Un notevole esempio di ricognizione attiva è la scansione delle porte, che mira a raccogliere informazioni sulle operazioni della rete. Nello specifico, mira a individuare i punti deboli disponibili e le potenziali vie per un’infiltrazione più profonda.

All'interno del meccanismo di infezione di StyleServ, una volta eseguita la DLL, viene avviata la creazione di cinque thread, ciascuno assegnato a una porta diversa. Questi thread tentano periodicamente di accedere a un file denominato "stylers.bin" a intervalli di 60 secondi. La validità del file è determinata in base alla sua disponibilità e alla sua aderenza a criteri specifici.

Se ritenuto valido, il file viene utilizzato nelle richieste di rete per i thread successivi. L'obiettivo principale di questi thread è monitorare le attività sui socket di rete. Di conseguenza, questi thread funzionano come versioni crittografate di "stylers.bin" e fungono da recettori per le connessioni remote.

Tipici vettori di infezione utilizzati dai criminali informatici

Il metodo specifico della proliferazione di StyleServ rimane attualmente sconosciuto. La distribuzione del malware si basa comunemente su tattiche di phishing e di ingegneria sociale, soprattutto tra gli autori di minacce sofisticate che impiegano attacchi mirati e adescamenti.

Questi programmi minacciosi sono spesso mimetizzati o raggruppati insieme a normali software o file multimediali. Possono manifestarsi in vari formati, inclusi file eseguibili, archivi come ZIP o RAR, documenti, codice JavaScript e altro.

Le tecniche di distribuzione più diffuse comprendono: l'inclusione di allegati o collegamenti fraudolenti in e-mail di spam, messaggi diretti, messaggi privati o messaggi di testo; download drive-by furtivi e ingannevoli; tattiche online; malvertising, che prevede campagne pubblicitarie ingannevoli; fonti di download dubbie come siti Web di hosting di file non ufficiali e gratuiti e reti di condivisione peer-to-peer; strumenti di attivazione di software illeciti come "crack"; e aggiornamenti software contraffatti.

Inoltre, alcuni programmi dannosi possiedono la capacità di auto-propagarsi attraverso reti locali e dispositivi di archiviazione rimovibili, comprese unità flash USB e dischi rigidi esterni. Ciò sottolinea la vasta gamma di strategie utilizzate dai criminali informatici per diffondere malware.